Chat with us, powered by LiveChat
backup header

Entra ID et restauration à un instant T : récupération complète pour les MSP modernes

La plupart d’entre nous partent de certains principes concernant l’infrastructure IT cloud : elle sera disponible (presque) en permanence, nous pourrons y accéder depuis n’importe où, elle sera sécurisée et protégée, et le fournisseur cloud « s’en occupe ». 

Mais si vous prenez un peu de recul et examinez l’architecture globale de Microsoft 365 et d’Entra ID, vous verrez que la pierre angulaire, c’est l’identité. Même si vous avez des sauvegardes de chaque document, de chaque liste et de chaque paramètre de configuration (bon courage pour cela), si l’administration ne peut pas se connecter, si l’accès aux données n’est plus possible et si les applications ne peuvent pas fonctionner parce qu’elles ne peuvent pas s’authentifier, votre entreprise est à l’arrêt. 

Et si la plupart d’entre nous considèrent Entra ID (anciennement Azure Active Directory, AAD) comme un simple endroit où stocker les comptes, les appareils et les groupes, c’est en réalité bien plus que cela. 

Les dépendances applicatives à Entra ID

Chaque application qui s’intègre d’une manière ou d’une autre à la plateforme Microsoft 365 sous-jacente (plus de 700 applications Microsoft, ainsi que toutes les applications tierces ajoutées par l’administration ou le personnel) possède dans Entra ID des paramètres de configuration et d’authentification essentiels, sans lesquels elle ne peut pas fonctionner. 

Entra ID contrôle également l’accès aux canaux partagés Teams dans d’autres Tenants, et toutes vos stratégies d’accès conditionnel qui autorisent ou bloquent les connexions de personnes à risque ou d’appareils non approuvés résident dans Entra ID. Si vous utilisez Identity Governance, vous disposez de droits et de packages d’accès qui permettent d’attribuer automatiquement les ressources et les applications aux bonnes personnes, au bon moment. 

Microsoft Entra ID diagram
Schéma de Microsoft Entra ID

Et Entra n’est pas une île : la plupart des entreprises sont en mode hybride, avec Windows Server Active Directory sur site comme source de vérité pour les comptes utilisateurs et groupes, ensuite synchronisés avec Entra ID. 

De nombreuses entreprises s’appuient également sur des systèmes RH pour la création initiale des nouveaux comptes, ainsi que pour le contrôle d’accès aux applications et aux ressources. 

Pannes historiques ayant touché des régions entières

Quiconque a connu les débuts de Microsoft 365 sait qu’AAD a parfois subi des pannes étendues, touchant des régions entières et parfois même l’accès mondial pour de larges groupes pendant de nombreuses heures. 

Heureusement, ces pannes majeures sont rares aujourd’hui, car Microsoft a repensé l’architecture de la plateforme sous-jacente pour la rendre beaucoup plus résiliente, avec des « shards » plus petits au service d’un nombre réduit de Tenants, et une authentification de secours qui prend le relais de manière transparente lorsque la plateforme principale ne répond plus. 

Mais des pannes se produisent encore, rappelant avec force que si vous ne pouvez pas vous connecter, plus rien d’autre ne fonctionne. 

Et si vous êtes un MSP, responsable des Tenants d’autres entreprises, prendre en charge ce risque en proposant une vraie sauvegarde, plutôt que de simplement compter sur Microsoft, est l’approche la plus prudente. 

Cybersecurity 2026 is out now!

Cybersecurity Report 2026

L’accélération des menaces mondiales sous l’impulsion de l’IA

Principaux risques pour votre Tenant Entra ID

Gérer les pannes de plateforme 

Toute entreprise doit prendre en compte plusieurs risques liés à sa plateforme de gestion des identités, qui se trouve au cœur de tout ce qui existe dans le cloud Microsoft. Le plus évident est une panne de la plateforme elle-même. 

Dans cette situation, la seule chose à faire est d’attendre que Microsoft rétablisse le service et, en attendant, de gérer la communication avec l’entreprise (en utilisant un canal qui ne dépend pas de M365). Heureusement, ce type de panne est très rare. 

Erreurs humaines et mauvaises configurations 

Les erreurs humaines sont plus probables : suppression du mauvais groupe ou du mauvais compte, modification de la portée d’une stratégie d’accès conditionnel, ou erreur similaire. Un facteur de risque important ici est l’automatisation et les scripts, où un petit changement peut, par exemple, impacter 200 groupes au lieu du seul groupe visé. 

La version la plus inquiétante de ce scénario est celle d’un acteur malveillant qui obtient l’accès à votre solution IAM (Identity and Access Management), qu’il s’agisse d’Active Directory, d’Entra ID ou des deux. 

Selon leur niveau d’accès et leurs objectifs (espionnage ou ransomware), ces acteurs peuvent supprimer tous les autres comptes d’administration sauf le leur, ou simplement créer des comptes et des principaux de service / applications d’entreprise afin de conserver l’accès si vous les détectez et pensez les avoir évincés de l’environnement. 

Les objets de comptes / groupes supprimés ainsi que les stratégies d’accès conditionnel disposent d’une corbeille intégrée de « soft delete » pendant 30 jours, mais si vous avez des droits d’administration, vous pouvez supprimer les comptes de ces emplacements afin d’empêcher l’entreprise de récupérer facilement. 

Corruption discrète et attaques contre les sauvegardes 

Une autre approche, plus insidieuse, consiste à modifier subtilement les comptes, les appartenances aux groupes et les stratégies d’accès afin de corrompre la plateforme d’identité elle-même. 15 % des attaques par ransomware ciblent spécifiquement les sauvegardes afin de paralyser davantage l’entreprise et d’augmenter les chances d’obtenir un paiement. 

Dans tous ces cas, il vous faut plus que les outils intégrés pour disposer d’une restauration Entra ID fiable. Pour les MSP, l’impact est encore plus grand. Imaginez devoir recréer manuellement des centaines de groupes ou de comptes, ainsi que leurs relations et paramètres d’accès, à partir de la documentation, sur du temps non facturable, alors qu’une récupération à un instant T ne demande que quelques clics. 

Pourquoi votre sauvegarde actuelle laisse une faille 

La plupart des entreprises sauvegardent leurs serveurs Domain Controller sur site, mais même avec une architecture hybride, cela ne couvre que la moitié du problème. Oui, vous pouvez désormais restaurer les comptes et les groupes sur site (à condition que votre sauvegarde n’ait pas été altérée par des cybercriminels), puis les synchroniser vers Entra ID, mais de nombreuses autres configurations n’existent que dans Entra ID. 

Si votre entreprise utilise uniquement Entra ID, la plupart des entreprises n’ont aucune sauvegarde de leur plateforme d’identité, ce qui laisse une faille énorme. Imaginez disposer d’une sauvegarde vérifiée de chaque document dans SharePoint et OneDrive, ainsi que de chaque boîte mail, sans pouvoir l’utiliser parce qu’aucun des comptes et groupes qui ont les autorisations correspondantes n’existe. 

En fin de compte, il est important de comprendre que Microsoft n’assume pas la responsabilité de vos données dans Entra ID / Microsoft 365. Voici une citation tirée du Microsoft Services Agreement : 

« Nous nous efforçons de maintenir les Services disponibles et opérationnels ; toutefois, tous les services en ligne subissent occasionnellement des interruptions et des pannes, et Microsoft n’est pas responsable des interruptions ou pertes que vous pourriez subir en conséquence. En cas de panne, il se peut que vous ne puissiez pas récupérer Votre Contenu ou les Données que vous avez stockés. Nous vous recommandons de sauvegarder régulièrement Votre Contenu et les Données que vous stockez sur les Services ou à l’aide d’Applications et de Services tiers. » 

Les outils natifs d’Entra ID et leurs limites 

Comme indiqué, les objets comptes, groupes et stratégies CA sont stockés temporairement dans une corbeille pendant 30 jours après leur suppression, selon le principe du soft delete, après quoi ils sont définitivement supprimés. Ici, vous pouvez voir quelques comptes supprimés, ainsi que l’option permettant de les restaurer ou de les supprimer définitivement. 

Entra ID user recycle bin
Corbeille des utilisateurs Entra ID

Microsoft a récemment ajouté un volet Backup and recovery (en préversion au moment de la rédaction). Il est activé par défaut, prend un instantané toutes les 24 heures, en conserve cinq jours et vous permet de comparer l’état actuel à chacun de ces points dans le temps via des Difference Reports. 

Cette fonctionnalité n’est pas conçue pour une récupération complète d’Entra ID. Elle sert plutôt à visualiser les changements apportés à un objet dans le temps et à pouvoir revenir en arrière sur ces modifications. 

Entra ID in-built Backup and recovery
Backup and recovery intégré d’Entra ID

Il convient de noter que nous ne savons pas encore si cette fonctionnalité sera liée à une licence coûteuse lorsqu’elle sera disponible de manière générale, ni s’il sera possible d’avoir une période de rétention supérieure à cinq jours, ou des sauvegardes plus fréquentes qu’une fois toutes les 24 heures. 

Le point le plus préoccupant est toutefois que ces sauvegardes sont stockées dans la plateforme elle-même. Ainsi, s’il y a un problème avec Entra ID, vous ne pourrez pas utiliser cette fonctionnalité pour récupérer vos données. 

C’est comme stocker les bandes de sauvegarde à côté du serveur, puis découvrir avec surprise que la récupération est impossible lorsque les deux sont volés ou détruits dans l’incendie du bâtiment. 

Présentation de la restauration Entra ID 

Une vraie sauvegarde consiste à prendre une copie de toutes les données et à la stocker séparément du système source de production. Historiquement, nous faisions cela avec des sauvegardes sur bande ou sur disque dur, envoyées hors site. En cas de problème avec les données source, nous pouvions récupérer à partir de ces sauvegardes sécurisées. 

Aujourd’hui, même les serveurs sur site sont souvent sauvegardés dans le cloud, ce qui répond toujours à ce critère : si les serveurs sont détruits ou compromis, une copie existe dans un autre système. Mais comme vous l’avez vu, les outils natifs d’Entra ID ne sont pas des solutions de sauvegarde au sens strict, mais plutôt un minimum fonctionnel qui dépend de la disponibilité de la plateforme sous-jacente. 

365 Total Backup Dashboard
Tableau de bord Hornetsecurity 365 Total Backup

Hornetsecurity adopte une autre approche avec 365 Total Backup. Chaque boîte mail, Teams Chat, plan de groupe Planner, document OneNote, OneDrive for Business et site SharePoint est sauvegardé plusieurs fois par jour, puis stocké dans notre cloud privé (dans plusieurs datacenters pour se protéger des pannes) sous forme de stockage immuable, protégé par un chiffrement AES 256 bits. 

Et nous étendons cette protection aux comptes et groupes Entra ID, sauvegardés et protégés de la même manière, pour permettre la restauration Entra ID. La rétention peut être configurée jusqu’à 10 ans. 

Les comptes supprimés ou compromis peuvent être restaurés individuellement ou en masse, avec la possibilité de réinitialiser tous les mots de passe avec le même mot de passe temporaire, ou d’attribuer un mot de passe individuel à chaque compte restauré. 

Les licences basées sur les groupes ne sont pas restaurées, et les comptes invités peuvent être exportés mais pas restaurés automatiquement. La sauvegarde des stratégies d’accès conditionnel sera bientôt également incluse. 

Comme il convient à une solution de sauvegarde d’entreprise, une fonction de self-service est disponible pour restaurer des boîtes mail ou des éléments individuels, ainsi que des documents dans OneDrive et des blocs-notes OneNote. Côté administration, il faut deux comptes administratifs pour supprimer / modifier / désactiver les sauvegardes ou changer les périodes de rétention, une approche appelée affectueusement Four-Eye Approval. 

Bien que 365 Total Backup fournisse un stockage illimité, le processus de restauration actuel permet également d’exécuter une restauration complète de tous les utilisateurs ou groupes par workload, ce qui signifie que chaque workload, comme la boîte mail, Teams Chat, Planner, OneNote, OneDrive et SharePoint, peut être restauré séparément. 

La puissance de la récupération à un instant T et de la souveraineté 

Les objets comptes et groupes peuvent être restaurés vers n’importe quel point de restauration enregistré. Cela inclut les métadonnées et les relations, pour une expérience fluide pour l’entreprise comme pour le compte concerné. C’est la reprise après sinistre appliquée aux identités, en conditions réelles. 

Pour l’audit et la conformité (le RGPD comme la HIPAA exigent que les données puissent être récupérées et exportées en dehors du cloud principal), vous pouvez facilement accéder aux données de sauvegarde et les exporter pour vos rapports. 

La véritable force de 365 Total Backup réside dans la possibilité de sauvegarder vos identités sur une plateforme distincte (vous choisissez la région), où votre souveraineté des données est garantie, en même temps que la récupération de vos documents et de vos emails. 


Protégez l’identité au cœur de votre activité 

Une sauvegarde qui ne protège que les fichiers ne fait que la moitié du travail. Assurez-vous que votre entreprise puisse restaurer ses comptes et ses groupes en un seul clic. En choisissant 365 Total Backup, vous bénéficiez de : 

  • Restauration Entra ID complète : Recréez les comptes et groupes supprimés, y compris les métadonnées et les relations, directement dans votre Tenant. 
  • Véritable souveraineté des données : Éliminez le point de défaillance unique grâce à un stockage redondant et indépendant, en dehors du fournisseur cloud principal. 
  • Évolutivité sans contrainte : Profitez d’un stockage illimité et d’un modèle tarifaire transparent et tout compris qui évolue avec votre activité. 
  • Continuité à toute épreuve : Utilisez la récupération à un instant T pour « annuler » en quelques secondes des suppressions massives ou des attaques par ransomware. 
365 Total Backup icon

Si vous êtes prêt à sécuriser votre Tenant et votre infrastructure d’identité, planifiez une démonstration dès aujourd’hui pour voir comment Hornetsecurity vous aide à gagner du temps et à sécuriser vos actifs les plus précieux. 

MSP Playbook FR Cover

Le guide MSP 2026

Le guide MSP fournit aux MSP des stratégies concrètes pour gagner en efficacité dans plusieurs domaines de leur activité et rester compétitifs dans un secteur en évolution rapide.


Conclusion : Total Backup signifie un contrôle total 

Quand votre plateforme d’identité ne fonctionne plus, plus personne ne peut travailler. Les attaquants savent que l’identité est le point faible de la plupart des entreprises, c’est pourquoi elle est au centre de tant d’attaques. Une fois à l’intérieur, l’élévation de privilèges et la capacité à interférer avec d’autres identités administratives sont essentielles à leur réussite. 

La seule façon de protéger complètement l’ensemble de votre système, et pas seulement les documents et les données, consiste à protéger votre plateforme d’identité en même temps que les données. Microsoft fournit la productivité, Hornetsecurity apporte la résilience et permet de récupérer même après la compromission complète d’un Tenant. 

365 Total Backup fait exactement cela et fournit la restauration Entra ID qui pourrait bien sauver la situation lors de ce qui aurait pu être le pire jour de votre carrière. 

FAQ

Quels risques une entreprise court-elle avec Entra ID ? 

Les entreprises sont exposées à des risques tels que des pannes, des erreurs humaines comme des suppressions accidentelles, ainsi que des acteurs malveillants susceptibles de compromettre l’accès aux solutions de gestion des identités. À l’heure actuelle, Microsoft 365 n’intègre pas de fonctionnalité native de restauration complète d’Entra ID, alors même qu’elle est essentielle puisque la gestion des identités est centrale dans toutes les opérations cloud. 

Quels avantages la récupération à un instant T apporte-t-elle aux entreprises ? 

La récupération à un instant T permet aux entreprises de restaurer les objets comptes et groupes, ainsi que leurs métadonnées et leurs relations, afin de les rétablir de manière fluide en cas de suppression ou d’attaque. 

En quoi l’approche de Hornetsecurity avec 365 Total Backup se distingue-t-elle ? 

Hornetsecurity 365 Total Backup crée des sauvegardes distinctes et complètes de toutes les données, y compris les comptes et les configurations, puis les stocke dans un environnement sécurisé et immuable pendant une durée pouvant aller jusqu’à 10 ans. 

Vous pourriez aussi être intéressé par